Fullscreen overlay impersonation
Cover the parent page with a fake but pixel-perfect UI rendered inside the iframe.
sandbox ポリシー別の挙動
| ポリシー | 想定結果 |
|---|---|
| sandbox 未指定 | 動作 |
sandbox="allow-scripts" | 動作 |
sandbox="" (最も厳格) | 部分動作 |
Embed スニペット
このスニペットは埋め込み専用ページを使用します。自サービスに貼り付けてレンダリング/ブロックの挙動を確認してください。
<iframe src="https://xss-playground.com/embed/fullscreen-overlay?lang=ja" title="XSS Playground - Fullscreen overlay impersonation" width="600" height="420" loading="lazy" referrerpolicy="strict-origin-when-cross-origin"></iframe>
실행
실제 공격에서는 iframe 자체를 부모 페이지의 CSS 로 화면 전체를 덮는 position:fixed; top:0; width:100%; height:100% 으로 배치합니다. iframe 자기 origin 안에서는 그 안에 어떤 UI 든 자유롭게 그릴 수 있어서, 실제 서비스와 똑같이 생긴 가짜 페이지로 사용자를 속일 수 있습니다.
// 로그 없음
해설
- iframe 자체 영역을 부모 CSS 가 어떻게 배치할지는 부모 책임입니다. 서비스가 임의 iframe 을 100% 너비/높이로 그리고 있다면 그 자체로 시각적 위장이 가능합니다.
- 진짜 풀스크린 API 는 사용자 제스처 필요. 하지만 z-index:99999 의 일반 DOM 오버레이는 사용자 제스처 없이도 즉시 가능합니다.